PortSmash: nueva vulnerabilidad que afecta a CPUs Intel
Un grupo de investigadores de la Universidad Tecnológica de Tampere, en Finlandia, y la Universidad Tecnológica de la Habana, en Cuba, ha descubierto una nueva vulnerabilidad que afecta a procesadores Intel. Ha sido "bautizada" como PortSmash (CVE-2018-5407) y de momento se ha confirmado su presencia en las generaciones Skylake y Kaby Lake, es decir, en los procesadores Core de sexta y séptima generación.
PortSmash es el primer resultado detrás del trabajo de cinco años del European Research Council "SCARE: Side-Channel Aware Engineering" en la Universidad de Tampere.
En los documentos que han facilitado los investigadores podemos ver que PortSmash permite a los atacantes filtrar datos encriptados de los procesos internos de la CPU, recurriendo a lo que se conoce como un ataque de canal lateral. Este tipo de ataque se describe como una técnica utilizada para filtrar datos encriptados de la memoria de una computadora o del procesador que funciona a través del registro y análisis de discrepancias en los tiempos de operación, consumo de energía, fugas electromagnéticas o incluso sonido para obtener información adicional que sea útil para romper los algoritmos de cifrado y recuperar los datos procesados por la CPU.
Dicho en términos más sencillos: este ataque funciona ejecutando un proceso malicioso junto a procesos normales utilizando las capacidades de ejecución de subprocesos paralelos que permite la tecnología HyperThreading. El proceso malintencionado, PortSmash, filtra pequeñas cantidades de datos del proceso objetivo, lo que ayuda a un atacante a reconstruir los datos cifrados procesados dentro de éste.
Según los investigadores que han descubierto la existencia de PortSmash estamos ante una vulnerabilidad que tiene potencial para afectar a todos los procesadores que utilizan tecnología de subprocesamiento, es decir, a aquellos que son capaces de aprovechar los tiempos de espera de la CPU para ejecutar múltiples subprocesos. Esto significa, en resumen, que cualquier procesador con tecnología HyperThreading podría estar afectado, y también las CPUs de AMD con tecnología SMT, aunque de momento los investigadores solo han podido demostrarlo en modelos basados en las arquitecturas Skylake y Kaby Lake.
Billy Brumley, uno de los investigadores responsables del descubrimiento de esta vulnerabilidad, comentó que este ataque no tiene nada que ver con la caché ni con la ejecución especulativa, y aclaró que es muy probable que los procesadores de AMD que utilizan la tecnología SMT (Ryzen y derivados) se vean también afectados, aunque todavía no han podido demostrarlo. Así es como explica este experto las claves fundamentales de esta vulnerabilidad: "La naturaleza de la fuga se debe al motor de ejecución compartido en arquitecturas de procesamiento multihilo (por ejemplo, tecnología HyperThreading). Concretamente, detectamos la contención de puertos para construir un ataque sincronizado de canal lateral con el objetivo de filtrar información de procesos que se ejecutan en paralelo en el mismo núcleo físico".
Los investigadores han publicado las demostraciones que confirman esta vulnerabilidad en procesadores Intel Skylake y Kaby Lake en GitHub, y también han indicado que el gigante del chip tiene preparado un parche para resolver el problema, aunque su despliegue todavía no ha comenzado, así que desconocemos aspectos tan importantes como su fecha oficial de disponibilidad global y el posible impacto en el rendimiento de los procesadores afectados.
En cuando a los procesadores AMD han especificado que seguirán trabajando para confirmar si es cierto o no que están afectados por PortSmash. La tecnología multihilo que permite trabajar con subprocesos en los tiempos de espera de cada proceso que manejan los núcleos físicos ha demostrado ser muy útil, pero no es la primera vez que acaba puesta en duda por problemas de seguridad, basta recordar lo ocurrido con TLBleed en junio de este mismo año para darse cuenta de ello.
A pesar de todo no creemos que los grandes del sector vayan a renunciar a la tecnología multihilo en sus procesadores de consumo general, HyperThreading en CPUs Intel y SMT en CPUs AMD.
Fuente: Muy Seguridad
En los documentos que han facilitado los investigadores podemos ver que PortSmash permite a los atacantes filtrar datos encriptados de los procesos internos de la CPU, recurriendo a lo que se conoce como un ataque de canal lateral. Este tipo de ataque se describe como una técnica utilizada para filtrar datos encriptados de la memoria de una computadora o del procesador que funciona a través del registro y análisis de discrepancias en los tiempos de operación, consumo de energía, fugas electromagnéticas o incluso sonido para obtener información adicional que sea útil para romper los algoritmos de cifrado y recuperar los datos procesados por la CPU.
Dicho en términos más sencillos: este ataque funciona ejecutando un proceso malicioso junto a procesos normales utilizando las capacidades de ejecución de subprocesos paralelos que permite la tecnología HyperThreading. El proceso malintencionado, PortSmash, filtra pequeñas cantidades de datos del proceso objetivo, lo que ayuda a un atacante a reconstruir los datos cifrados procesados dentro de éste.
Según los investigadores que han descubierto la existencia de PortSmash estamos ante una vulnerabilidad que tiene potencial para afectar a todos los procesadores que utilizan tecnología de subprocesamiento, es decir, a aquellos que son capaces de aprovechar los tiempos de espera de la CPU para ejecutar múltiples subprocesos. Esto significa, en resumen, que cualquier procesador con tecnología HyperThreading podría estar afectado, y también las CPUs de AMD con tecnología SMT, aunque de momento los investigadores solo han podido demostrarlo en modelos basados en las arquitecturas Skylake y Kaby Lake.
Billy Brumley, uno de los investigadores responsables del descubrimiento de esta vulnerabilidad, comentó que este ataque no tiene nada que ver con la caché ni con la ejecución especulativa, y aclaró que es muy probable que los procesadores de AMD que utilizan la tecnología SMT (Ryzen y derivados) se vean también afectados, aunque todavía no han podido demostrarlo. Así es como explica este experto las claves fundamentales de esta vulnerabilidad: "La naturaleza de la fuga se debe al motor de ejecución compartido en arquitecturas de procesamiento multihilo (por ejemplo, tecnología HyperThreading). Concretamente, detectamos la contención de puertos para construir un ataque sincronizado de canal lateral con el objetivo de filtrar información de procesos que se ejecutan en paralelo en el mismo núcleo físico".
Los investigadores han publicado las demostraciones que confirman esta vulnerabilidad en procesadores Intel Skylake y Kaby Lake en GitHub, y también han indicado que el gigante del chip tiene preparado un parche para resolver el problema, aunque su despliegue todavía no ha comenzado, así que desconocemos aspectos tan importantes como su fecha oficial de disponibilidad global y el posible impacto en el rendimiento de los procesadores afectados.
En cuando a los procesadores AMD han especificado que seguirán trabajando para confirmar si es cierto o no que están afectados por PortSmash. La tecnología multihilo que permite trabajar con subprocesos en los tiempos de espera de cada proceso que manejan los núcleos físicos ha demostrado ser muy útil, pero no es la primera vez que acaba puesta en duda por problemas de seguridad, basta recordar lo ocurrido con TLBleed en junio de este mismo año para darse cuenta de ello.
A pesar de todo no creemos que los grandes del sector vayan a renunciar a la tecnología multihilo en sus procesadores de consumo general, HyperThreading en CPUs Intel y SMT en CPUs AMD.
Fuente: Muy Seguridad
Excelente articulo, muchas grecias por mantenernos enterados.
ResponderBorrar